
NSO Group Israel mungkin mengetahui lebih banyak tentang bagaimana pelanggan menggunakan produk spyware komersial Pegasus daripada yang diungkapkan perusahaan tersebut, berdasarkan dokumen pengadilan yang baru dirilis terkait dengan sengketa hukum dengan WhatsApp Meta.
Faktanya, NSO Group memasang dan mengoperasikan spyware atas nama pelanggannya, sehingga perusahaan tersebut bertanggung jawab langsung atas penggunaan spyware tersebut, kata pengacara WhatsApp dalam salah satu pengajuan pengadilan, dirilis 14 November di Pengadilan Distrik AS untuk Distrik Utara California.
Dokumen pengadilan merupakan bagian dari a gugatan yang diajukan WhatsApp terhadap NSO Group pada bulan Oktober 2019 setelah mengetahui perusahaan Israel telah menggunakan server WhatsApp untuk mendistribusikan Pegasus ke sekitar 1.400 ponsel, termasuk milik jurnalis dan aktivis hak asasi manusia.
Pengacara juga mengklaim bahwa NSO Group berulang kali mengembangkan dan menggunakan eksploitasi untuk menyalahgunakan server WhatsApp untuk menginstal Pegasus pada perangkat target, termasuk setidaknya satu kali setelah WhatsApp menggugat perusahaan tersebut atas masalah tersebut.
NSO 'Bertanggung Jawab Sepenuhnya'
“NSO sepenuhnya bertanggung jawab atas akses tidak sah Pegasus ke server WhatsApp,” kata raksasa media sosial itu dalam satu pengarahan. “Terlepas dari klaim NSO, pelanggannya hanya mempunyai peran kecil dalam cara alat spyware beroperasi atau mengumpulkan informasi. Pelanggan NSO Group biasanya hanya perlu memasukkan nomor telepon target mereka, menekan instal, dan menunggu hingga malware dipasang di perangkat tersebut. perangkat target tanpa interaksi lebih lanjut,” catat mereka.
“Dengan kata lain, pelanggan cukup memesan data perangkat target, dan NSO mengontrol setiap aspek proses pengambilan dan pengiriman data melalui desain Pegasus,” kata pengacara WhatsApp. Faktanya, perusahaan tersebut sangat menyadari bagaimana pelanggan menggunakan malware-nya sehingga perusahaan tersebut memutus layanan kepada 10 pelanggannya karena penyalahgunaan yang berlebihan, demikian klaim para pengacara.
Perangkat Lunak Pengawasan Kontroversial
Pegasus adalah spyware seluler kontroversial yang dirancang untuk memantau dan mengekstrak data secara diam-diam dari ponsel pintar iOS dan Android. Setelah diinstal, Pegasus dapat mencegat pesan, email, media, dan kata sandi, serta melacak data lokasi, sambil menghindari deteksi oleh perangkat lunak antivirus. NSO Group mengklaim menjual teknologi tersebut hanya kepada lembaga pemerintah yang berwenang untuk tujuan penegakan hukum yang sah, pemberantasan kejahatan, dan anti-teror. Namun para kritikus berpendapat bahwa alat tersebut telah disalahgunakan, terutama di rezim otoriter sasaran jurnalis, aktivis hak asasi manusiapembangkang politik, dan pihak lain yang kritis terhadap pemerintah.
Kebocoran database pada tahun 2021 mengungkapkan bahwa pelanggan NSO Group, pada saat itu, menargetkan lebih dari itu 50.000 nomor telepon untuk pengawasan di negara-negara seperti Meksiko, Hongaria, dan India. Pemerintah AS secara resmi memasukkan perusahaan tersebut ke dalam daftar hitam pada tahun 2021, yang berarti kemampuannya untuk beroperasi di AS atau melakukan bisnis dengan entitas AS di luar negeri sangat dibatasi.
NSO Group telah mencoba meminta pengadilan AS untuk menolak gugatan WhatsApp terhadap perusahaan tersebut, dengan alasan, antara lain, kurangnya yurisdiksi dan fakta bahwa kliennya sebagian besar adalah pemerintah sehingga tidak melakukan sesuatu yang ilegal. Pengacara WhatsApp berusaha menggambarkan NSO Group memang bertanggung jawab atas Pegasus dengan mencoba mengikat vendor secara lebih langsung dengan penggunaan alat spyware oleh pelanggan.
Dalam dokumen pengadilan yang baru dirilis, WhatsApp menuduh NSO Group berulang kali dan mempertimbangkan mekanisme yang diterapkan perusahaan untuk mencegah penyalahgunaan platform perpesanan aman. Salah satunya adalah aplikasi klien WhatsApp yang dimodifikasi yang disebut Server Instalasi WhatsApp (WIS) yang dapat mengakses server back-end WhatsApp dengan cara yang tidak dapat dilakukan oleh perangkat lunak kliennya sendiri. NSO Group kemudian mengembangkan alat bernama Heaven and Eden untuk berinteraksi dengan WIS sedemikian rupa sehingga memicu unduhan Pegasus di ponsel target melalui WhatsApp. Perusahaan mengembangkan Eden setelah WhatsApp menemukan Heaven dan memblokirnya. Ketika para insinyur WhatsApp menemukan Eden, NSO mengembangkan dan menggunakan alat lain, yang disebut Erised, hingga tahun 2020, atau setelah WhatsApp mengajukan gugatannya.
Gugatan WhatsApp adalah salah satu dari beberapa bahwa NSO Group saat ini sedang berjuang di pengadilan di seluruh dunia dari organisasi dan individu yang terkena dampak malware. Pada bulan September, Apple meminta pemecatan secara sukarela dari gugatan tahun 2021 yang diajukan terhadap NSO Group, dengan alasan kekhawatiran bahwa perusahaan tersebut harus berbagi informasi dengan pengadilan yang dapat disalahgunakan oleh pembuat spyware lain di masa mendatang.
Ketika gugatan diajukan, NSO Group termasuk di antara segelintir pemasok perangkat lunak spyware seluler yang diketahui. Sejak itu, terjadi peningkatan tajam dalam jumlah vendor spyware komersial, yang sebagian besar didorong oleh permintaan dari lembaga pemerintah. A Laporan Google awal tahun ini mengidentifikasi vendor spyware seperti NSO Group bertanggung jawab atas hampir setengah dari seluruh eksploitasi zero-day yang dihitung antara pertengahan tahun 2014 dan Desember 2023.